Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ac - Mgs-Espe-048269
Ac - Mgs-Espe-048269
Alcívar, Lilian
Departamento de Ciencias de la Computación; Universidad de las Fuerzas Armadas, Sangolquí,
Ecuador
1
Abstract: A feasibility study was conducted prior to the development of the
Contingency Plan for INNOVATIVA. The conclusion of the study was that the
mentioned plan was developed based on the premises and conditions listed below.
- Technical feasibility: Feasibility of the development of a contingency plan with the
help of the current available technical staff. This staff will have the ability to run it.
- Technological feasibility: It is recommended to establish an agreement with the
University of the Military Forces so that they can operate in one of their servers in
case of any disaster or contingency.
- Operational feasibility: The physical area available in INNOVATIVA is enough to
implement some required security measures such as installing fire extinguishers.
- Operational feasibility: The main objective of this contingency plan is to ensure
the continuity of INNOVATIVA operations. To ensure their operability four
assessment stages will be considered: planning, execution, and retrieval.
- Economic feasibility: The major expenses have already been considered and
projects have been developed to acquire the necessary equipment.
- Legal feasibility: The rules to be taken into account for the implementation of the
Contingency Plan are: Internal Control Standards for the Public Sector, NFPA 10
Standard for Portable Fire Extinguishers and NFPA 75 Standard for protecting the
Information Technology Equipment.
- Ethical feasibility: This project will be totally ethical as its development will be
known by many people and the mentioned project will be available to all
stakeholders. In addition, the the project will be governed by the laws, rules and
regulations established by the Ecuadorian government as well as the enterprise
internal regulations.
At its core, The Contingency Plan has been structured into three control matrices: a
matrix for prevention, one for mitigation, and another for retrieval. Each of these
matrices has a code, a control description, and a responsible for running it.
Introducción
Innovativa, institución adscrita a la Escuela Politécnica del Ejército ESPE cuya misión
es realizar transferencia de tecnología mediante el desarrollo de proyectos y prestación
de servicios de capacitación, asesoría y consultoría para contribuir al desarrollo del país;
sustentados en el conocimiento, innovación y estímulo de la investigación científica,
cuenta con el Departamento de Tecnologías de Información, que es el encargado de
Coordinar, supervisar, gestionar y ejecutar los procesos que permitan fortalecer la
plataforma tecnológica de hardware y software de INNOVATIVA, mediante el uso de
herramientas de tecnologías de información y comunicaciones, que faciliten la
administración y aseguramiento de la información institucional.
2
Sin embargo el Área de TI, no tiene al momento un plan de contingencias que permita
resolver inmediatamente los problemas que se suscitan, lo cual implica que este
departamento no pueda aportar adecuadamente al cumplimiento de los objetivos
estratégicos institucionales y conlleva a un mal uso de los recursos. Además las líneas
de negocio que mantiene Innovativa, dependen directamente del correcto
funcionamiento de la tecnología y de una pronta recuperación de posibles fallos.
Por lo tanto es necesario poner en marcha un plan de contingencias, que sea fiable y
seguro para poder cumplir con los objetivos del negocio y satisfacer las necesidades del
cliente eficientemente.
I. Metodología
En lo que tiene que ver con la provisión de energía eléctrica las instalaciones que
brinden poca seguridad a personal y equipos en cuanto a la cantidad y calidad de
suministro; se pueden observar instalaciones, pero no existe la evidencia de que estén
funcionando y prestando servicio a Innovativa.
Para la parte desarrolladora los requerimientos de conocimiento del tema están cubiertos
a satisfacción, debido a la formación académica, capacitación y experiencia profesional.
Considerando las funciones y la capacitación del personal involucrado por parte de
Innovativa se ha valorado al personal como muestra la Tabla 1 y la Tabla 2.
3
Tabla 1: Capacitación del personal
Capacitación en
Capacitación Capacitación Capacitación en temas
Cargo Seguridad y
área alternativa administrativos y otras
Contingencias
Diseñador Diseño de Redes LAN Seguridades en Negocios usando Internet
Multimedia Páginas Web Redes WAN Internet. Contabilidad Computarizada
1 Diseño de Inalámbricas Relaciones humanas y
Páginas Web Cableado Motivación
Avanzado Estructurado
Suficiencia en CISCO I y II
Informática Instalación,
Técnicas y Configuración,
Tecnologías en Manejo de Linux
la Educación Certificación
Internacional de
Microsoft IC3
Diseñador Cursos de Curso de Power Seminario de productos
Multimedia Moodle Builder V 7.0 EPSON
2 Cursos de Hot Curso de Visual Seminario de Productos HP
Potatoes Basic V 6.0 Seminario de la Microsoft
Manejo de (S.O Windows Stard Edition)
Administradores de Seminario de Productos
Base de Datos SQL Microsoft DeskTop, Servers
Server, Access. Licensing
Seminario de la Microsoft
(Sales Specialist 2007,
Productos Office 2007
Windows Vista y Servidores).
Jefe de Entrenamiento Taller de
Sistemas Asterisk planificación de
Advanced recuperación ante
dCAP Digium desastres
CISCO
CCNA1
CISCO
CCNA2
Administración
“Microsoft
Dinamycs
Axapta 3.5”
Integrador de
Voice over IP
Web Master Entornos Autocad Planificación Estratégica
Virtuales de Principiantes
Aprendizaje
Creación de
entornos
virtuales para el
aprendizaje
basados en la
Web 2.0
4
Tabla 2: Valoración de Capacitación del personal
Se han considerado que físicamente deben existir dos Servidores para poder tener uno
de respaldo en un sito alterno, el cual permita operar en caso de algún desastre o
contingencia, debido al costo que puede tener adquirir un servidor, se recomienda
realizar un convenio con la Universidad de las Fuerzas Armadas para que se pueda
operar en uno de sus servidores.
5
1.2.3. Factibilidad operativa
Innovativa tiene mucho interés en que se cumpla con este requerimiento de contar con
un plan de contingencias en el área de TI por lo cual existe el apoyo total en cuanto a
facilitar los accesos a la información necesaria
El espacio físico con el que cuenta Innovativa es suficiente para poder implementar
algunas medidas de seguridad necesarias como el colocar extintores de incendios.
Las normas que deben tomarse en cuenta para la ejecución del plan de Contingencia son
las siguientes:
a. Normas de Control Interno para el Sector Público.- Al ser Innovativa una entidad
pública y encontrarse bajo el ámbito de competencia de la Contraloría General del
Estado, debe regirse a esta norma que en su apartado 400-09 habla sobre la seguridad
general en los centros de procesamiento de datos y dice “Los centros de
procesamiento de datos de la institución, establecerán mecanismos que protejan y
salvaguarden contra pérdidas y fugas de los medios físicos (equipos y programas) y
la información.”.
6
b. NFPA 10 Norma para extintores portátiles contra incendios.- Esta norma está
dirigida a la selección, instalación, inspección y mantenimientos y prueba de equipos
de extintores portátiles, se deberá tomar en cuenta todo lo que la misma considera
para ser aplicada en el plan de contingencias.
Este proyecto será totalmente ético ya que será desarrollado a la vista de todos y estará
disponible para todos los interesados, además se regirá a todas las leyes, normas y
reglamentaciones para que el Estado Ecuatoriano y la normativa interna de la empresa
exijan.
En la fase del análisis de riesgo, se consideran tres elementos que permiten aproximar
un valor objetivo de riesgo de la lista de riesgos principales: el tipo, la probabilidad y
grado de impacto del riesgo. Estos elementos permitirán categorizar los riesgos, lo que a
su vez le permite dedicar más tiempo y principalmente a la administración de los riesgos
más importantes.
7
El impacto del riesgo mide la gravedad de los efectos adversos, o la magnitud de una
pérdida, causados por la consecuencia. La tabla 5 indica los tipos de impacto
considerados.
Impacto Descripción
Probabilidad de Grado de
Riesgo Tipo de riesgo
ocurrencia impacto
8
Una vez elaborada la matriz, con ayuda de Los Objetivos de Control para la
Información y la Tecnología Relacionada (Cobit) que garantiza que los riesgos de TI se
administran apropiadamente definiendo objetivos de control para los 34 procesos que
ha definido previamente y de la norma ISO 17799:2005 la cual ofrece recomendaciones
para realizar la gestión de la seguridad de la información dirigidas a los responsables de
iniciar, implantar o mantener la seguridad de una organización y establece once
dominios de control que cubren por completo la Gestión de la Seguridad de la
Información. Además se han considerado la Norma Extintores contra incendios NFPA
10 cuyas Las estipulaciones se dirigen a la selección, instalación, inspección,
mantenimiento y prueba de equipos de extinción portátiles. Y la Norma para la
protección de equipos de Tecnología de la Información NFPA 75, cuyo propósito es el
de establecer los requisitos mínimos para la protección del equipamiento de Tecnología
de la Información y de las áreas para los equipos de tecnología de la información, de los
daños ocasionados por el fuego o por sus efectos asociados, es decir, humo, corrosión,
calor y agua.
Servidores 21,32,33,34,35,61,62 9 6
Información 12,13,14,15,16,42,48 6
Instalaciones 5
9
Tabla 7: Tabla de Controles de prevención
10
De los trabajos analizados, se puede observar que los controles se repiten en algunos de
los riegos, por lo cual se ha procedido a definir tablas para los controles de prevención,
mitigación y recuperación, se les asignó un código y luego se los ha ido aplicando en los
diferentes riesgos, lo cual facilita el manejo del plan de contingencias.
- Las Normas ISO 17799, COBIT, NFPA 10 Y NFPA 75 han contribuido para poder
definir controles que brinden seguridad tanto al personal como a la infraestructura
tecnológica del Área de TI de Innovativa.
- Se han determinado 12 contingencias potenciales a las que actualmente
INNOVATIVA se expone y que deben ser controladas.
- El plan de contingencias para el Área de TI, está enfocado principalmente en
prevenir y reducir los daños causados al suscitarse una contingencia y permitirá
reducir de manera razonable la probabilidad y el impacto de los riesgos.
- En lo posible seguir implementado los controles para la seguridad de la
infraestructura de TI sugeridos en las Normas ISO 17799, COBIT.
- Documentar los procesos que se deben ejecutar para la recuperación de un desastre.
- Implementar los controles de prevención establecidos en el plan en un periodo
máximo de 6 meses.
- Una vez implementados los controles establecer un cronograma de pruebas y
ejecutarlo.
- Revisar, evaluar y rehacer el plan de contingencias en el periodo de un año.
Agradecimientos
Referencias Bibliográficas
Claudio Puente, B. A., & Chicaiza Maigua, N. (2003). Propuesta de un manual de contingencia
informático para la U. T. C. Latacunga.
Instituto del Mar del Perú. (2012). Plan de Contingencias Informático 2012-2015. Callao.
11
Instituto Nacional de Estadística e Informática. (2001). Guía práctica para el desarrollo de
planes de contingencia de Sistemas de Información. Lima.
Llumiquinga Marcillo, C. V., & Vallejo, P. F. (2005). DISEÑO DE LAS POLÍTICAS DE SEGURIDAD
DE LA INFORMACIÓN Y DESARROLLO DEL PLAN DE CONTINGENCIA PARA EL ÁREA DE SISTEMAS
DE LA COOPERATIVA DE AHORRO Y CRÉDITO ALIANZA DEL VALLE.
http://pazsystemengineering.blogspot.com/2010/05/plan-de-contingencia-informatico.html
Ramirez Robayo, M. Y., Londoño Rúa, E. A., & Gómez Gómez, J. A. (2012). Propuesta de
Mejoramiento y Contingencia de Sistemas Informáticos en la empresa "T". Bogotá.
Yory, J. (2006).
http://www.mvausa.com/Colombia/Presentaciones/INTRODUCCION_ISO_17799.pdf.
12